В соцсети "ВКонтакте" найдена уязвимость, позволяющая читать чужие сообщения
Анонимный разработчик под ником Yoga2016 нашел способ читать чужую переписку пользователей «ВКонтакте». Об уязвимости соцсети он рассказал специалистам поддержки, однако ответа не получил, пишет "Ридус".
Разработчик использовал для проверки «ВКонтакте» сервис SimilarWeb, который собирает данные о трафике и позволяет увидеть 300 самых популярных материалов конкретного сайта. Yoga2016 удивился, когда вместо самых читаемых страниц получил ссылки на личные сообщения 300 случайных пользователей. Для чего сервис сохраняет эти ссылки, неизвестно.
Разработчику удалось выгрузить несколько историй переписок пользователей: чтобы посмотреть их, он добавил к адресу из SimilarWeb «.xml».
В соцсети «ВКонтакте» «Газете.Ru» заявили на этом, что речь не идет об уязвимости.
"Сторонние разработчики имеют доступ к открытому API нашей площадки. Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений. Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb", — пояснили в администрации соцсети.
Там отметили, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.